From 9031ea19f4a5ebbf2085ad714586cc05fbca3813 Mon Sep 17 00:00:00 2001 From: lpoujol Date: Wed, 6 Dec 2023 18:34:34 +0100 Subject: [PATCH] Rafraichissement documentation unbound (version, fichiers, path) --- HowtoUnbound.md | 37 ++++++++++++++++++++++--------------- 1 file changed, 22 insertions(+), 15 deletions(-) diff --git a/HowtoUnbound.md b/HowtoUnbound.md index e9b69479..747dad1c 100644 --- a/HowtoUnbound.md +++ b/HowtoUnbound.md @@ -16,12 +16,16 @@ title: Howto Unbound ~~~ # apt install unbound -$ /usr/sbin/unbound -h | tail -5 -Version 1.6.0 -linked libs: libevent 2.0.21-stable (it uses epoll), OpenSSL 1.1.0f 25 May 2017 -linked modules: dns64 python validator iterator +$ /usr/sbin/unbound -V +Version 1.17.1 + +Configure line: --build=x86_64-linux-gnu --prefix=/usr --includedir=${prefix}/include --mandir=${prefix}/share/man --infodir=${prefix}/share/info --sysconfdir=/etc --localstatedir=/var --disable-option-checking --disable-silent-rules --libdir=${prefix}/lib/x86_64-linux-gnu --runstatedir=/run --disable-maintainer-mode --disable-dependency-tracking --with-pythonmodule --with-pyunbound --enable-subnet --enable-dnstap --enable-systemd --with-libnghttp2 --with-chroot-dir= --with-dnstap-socket-path=/run/dnstap.sock --disable-rpath --with-pidfile=/run/unbound.pid --with-libevent --enable-tfo-client --with-rootkey-file=/usr/share/dns/root.key --enable-tfo-server +Linked libs: libevent 2.1.12-stable (it uses epoll), OpenSSL 3.0.11 19 Sep 2023 +Linked modules: dns64 python subnetcache respip validator iterator +TCP Fastopen feature available + BSD licensed, see LICENSE in source package for details. -Report bugs to unbound-bugs@nlnetlabs.nl +Report bugs to unbound-bugs@nlnetlabs.nl or https://github.com/NLnetLabs/unbound/issues ~~~ ### OpenBSD @@ -31,7 +35,7 @@ Unbound est intégré dans la base d'OpenBSD, il est donc déjà présent. ## Configuration - ou + ou Fichiers de configuration sous Debian : @@ -39,12 +43,18 @@ Fichiers de configuration sous Debian : /etc/unbound/ ├── unbound.conf ├── unbound.conf.d -│ ├── qname-minimisation.conf +│ ├── remote-control.conf │ └── root-auto-trust-anchor-file.conf -├── unbound_control.key -├── unbound_control.pem -├── unbound_server.key -└── unbound_server.pem +~~~ + +**Remarque** : Dans Debian 11 et précédents, le fichier `/etc/unbound/unbound.conf.d/remote-control.conf` n'est pas présent. Les opérations de rechargement de la configuration (avec `systemctl reload unbound.service`) ne fonctionnent pas. Mais on peut manuellement rajouer ce fichier : + +~~~ +remote-control: + control-enable: yes + # by default the control interface is is 127.0.0.1 and ::1 and port 8953 + # it is possible to use a unix socket too + control-interface: /run/unbound.ctl ~~~ Fichiers de configuration sous OpenBSD (Unbound est dans un chroot) : @@ -54,15 +64,12 @@ Fichiers de configuration sous OpenBSD (Unbound est dans un chroot) : └── unbound.conf ~~~ -Par défaut, Unbound écoute uniquement sur _localhost_, la configuration minimale consiste surtout à le sécuriser : - -Exécuter la commande `sudo -u _unbound unbound-anchor` pour créer le fichier .key. +Par défaut, Unbound écoute uniquement sur _localhost_, la configuration minimale suivante consiste surtout à le sécuriser : ~~~ server: hide-identity: yes hide-version: yes - auto-trust-anchor-file: "/var/unbound/db/root.key" ~~~ Si l'on veut le faire écouter sur un réseau local, il faut ajuster les directives `interface` et `access-control` :